Kaspersky krzyczy trojan

[BoMbelaZ^]

Witam
Zrobiłem kumplowi format. Na czystym windows'ie (sp2) zacząłem instalować różne programy, głównie z pewnych stron. Parę rzeczy ściągałem z HeavenTracker'a. Chodzi mi o to, że to co pobrałem było pewniakiem, że nie ma w sobie trojana. Następnie zaktualizowałem system poprzez 'aktualizacje automatyczne' m.in sp3. Na końcu zainstalowałem Kasperskiego v 8.xxx Zacząłem skanować cały komputer lecz nadal krzyczał, że wykrył trojana. Leczyłem a jak nie dało rady to usuwałem trojan ale nadal krzyczy. Myślę, że to nic nie da dlatego piszę z prośbą o pomoc. Na jutro koło 13 komputer muszę oddać. Nie chcę nikogo pośpieszać tylko posty po tej godzinie nie będą pomocne. I mam pytanie. Czy usunięcie niektórych plików zainfekowanych, nie wpłynie źle na pracę komputera? Bardzo proszę o pomoc. Z góry dziękuję.

Załączam logi z OTL:

http://wklej.org/id/157746/?zawin=1 Extras.txt

http://wklej.org/id/157750/ OTL.txt

Niestety jak chciałem wziąć w 'code' to pojawił się komunikat że max. liczba znaków to 60000

edit:
hijackthis:

Kod: Zaznacz wszystko

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:01:56, on 2009-09-26
Platform: Windows XP Dodatek SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
D:\Programy\uTorrent\uTorrent.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.pl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
O1 - Hosts: 60.190.218.24 www.kavkiskey.com
O1 - Hosts: 60.190.218.24 www.kavkiskey.com
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\programy\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [cdoosoft] C:\DOCUME~1\Marek\USTAWI~1\Temp\herss.exe
O4 - HKCU\..\Run: [Nowe Gadu-Gadu] "d:\programy\Nowe Gadu-Gadu\gg.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA LOKALNA')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'USŁUGA SIECIOWA')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statystyki ochrony WWW - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Badanie - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nb) (pr2ah4nb) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nb.exe

--
End of file - 4898 bytes


RSIT: http://wklej.org/id/157751/

[wojtas]

Uruchom OTL i w oknie Custom Scans/Fixes wklej :

:OTL
PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)
O4 - HKLM..\Run: [RegistryMechanic] File not found
O4 - HKU\S-1-5-21-1202660629-839522115-743591363-1003..\Run: [cdoosoft] C:\Documents and Settings\Marek\Ustawienia lokalne\Temp\herss.exe ()
O32 - AutoRun File - [2009-09-26 20:46:24 | 00,000,059 | RHS- | M] () - C:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009-09-26 20:46:24 | 00,000,059 | RHS- | M] () - D:\autorun.inf -- [ NTFS ]
O32 - AutoRun File - [2009-09-26 20:46:24 | 00,000,059 | RHS- | M] () - E:\autorun.inf -- [ NTFS ]
O33 - MountPoints2\{0388099d-a795-11de-bf22-001d601447b5}\Shell\AutoRun\command - "" = H:\w9uxx92.exe -- File not found
O33 - MountPoints2\{0388099d-a795-11de-bf22-001d601447b5}\Shell\open\Command - "" = H:\w9uxx92.exe -- File not found
O33 - MountPoints2\{69565917-a762-11de-835e-806d6172696f}\Shell - "" = AutoRun
O33 - MountPoints2\{69565917-a762-11de-835e-806d6172696f}\Shell\AutoRun\command - "" = F:\Bin\Assetup.exe -- File not found
O33 - MountPoints2\{69565918-a762-11de-835e-806d6172696f}\Shell\AutoRun\command - "" = C:\mranjm.exe -- [2009-09-26 20:23:01 | 00,116,397 | RHS- | M] ()
O33 - MountPoints2\{69565918-a762-11de-835e-806d6172696f}\Shell\open\Command - "" = C:\mranjm.exe -- [2009-09-26 20:23:01 | 00,116,397 | RHS- | M] ()
O33 - MountPoints2\{69565919-a762-11de-835e-806d6172696f}\Shell\AutoRun\command - "" = D:\mranjm.exe -- [2009-09-26 20:23:01 | 00,116,397 | RHS- | M] ()
O33 - MountPoints2\{69565919-a762-11de-835e-806d6172696f}\Shell\open\Command - "" = D:\mranjm.exe -- [2009-09-26 20:23:01 | 00,116,397 | RHS- | M] ()
O33 - MountPoints2\{6956591a-a762-11de-835e-806d6172696f}\Shell\AutoRun\command - "" = E:\mranjm.exe -- [2009-09-26 20:23:01 | 00,116,397 | RHS- | M] ()
O33 - MountPoints2\{6956591a-a762-11de-835e-806d6172696f}\Shell\open\Command - "" = E:\mranjm.exe -- [2009-09-26 20:23:01 | 00,116,397 | RHS- | M] ()

:Reg
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{db1b3e60-05ac-11de-a5d3-00001cd72a97}]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"SuperHidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

:Commands
[emptytemp]
[start explorer]
[Reboot]

Kliknij w Run Fix. I potwierdz reset kompa .

Następnie uruchamiasz OTL z opcją Run Scan. Pokazujesz nowy log OTL.txt oraz raport z czyszczenia kompa

Autor postu otrzymał pochwałę

[BoMbelaZ^]

Dziękuję za pomoc.

raport z czyszczenia: http://wklej.org/id/158106/

log OTL.txt: http://wklej.org/id/158108/

Przed zrobieniem tego, wyskoczył mi komunikat od Kasperskiego o trojanie a dokładnie: Trojan-gameThief.Win32.Magania.cdwc , obiekt: C:\mranjm.exe (i ten sam obiekt na D:\ i E:\)
Zrobiłem to co napisałeś, po restarcie Kaspersky wyskoczył z komunikatem, że wykryto zagrożenia. Czekają aktualizacje, głównie do sp3, czy mam je zainstalować?

Załączam także raport z Kasperskiego, jeżeli Ci to w czymś pomoże. Chcę jednak zaznaczyć że przed tym fixem, raport był o wiele wiele większy, teraz ma zaledwie pare linijek.

http://img42.imageshack.us/i/kraport.jpg/

[wojtas]

skasuj z raporty te dwa konie trojanskie.. i powinno byc ok